Мукс Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Червь, очень похожий на sasser, всё время перезагружает систему. Пробовал clrav, заплатку fxsasser, microsoft sasser remove tool, ничего его не определяет. Помогите, чё делать?? Ссылка на комментарий Поделиться на другие сайты Поделиться
elsp Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Почему ты так уверен чтоэто червь, если ничто его не видит? Просканируй в безопасном режиме. Если его там нет - то определенно проблемы с железом. Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 7 июня, 2006 Автор Жалоба Поделиться Опубликовано 7 июня, 2006 Просканил в безопасном, всё то же самое, ничего нет... А на sasser подумал, потому что ошибка в файле lsass происходит, и окошко вылезает с предупреждением, что через минуту система перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Просканил в безопасном, всё то же самое, ничего нет...А на sasser подумал, потому что ошибка в файле lsass происходит, и окошко вылезает с предупреждением, что через минуту система перезагрузится. Вот этот сканер попробуй:http://download.drweb.com/drweb+cureit/?lng=ru Потому как уязвимость LSASS используют куча червей. P.S. В безопасном режиме комп тоже постоянно перезагружается? Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 7 июня, 2006 Автор Жалоба Поделиться Опубликовано 7 июня, 2006 Во! Вот этот сканер нашёл наконец-то! И правда это оказался не сассер, а BackDoor.HangUp какой-то... Saule, спасибо тебе! Очень выручил)) Ссылка на комментарий Поделиться на другие сайты Поделиться
elsp Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Мукс: Ставь заплатки теперь, а то опять схлопочешь.. я с бластером как-то пол месяца мучился.. Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 7 июня, 2006 Автор Жалоба Поделиться Опубликовано 7 июня, 2006 Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить? Ссылка на комментарий Поделиться на другие сайты Поделиться
TVS Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить? Жди Saule, она скажет что делать дальше. Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 7 июня, 2006 Автор Жалоба Поделиться Опубликовано 7 июня, 2006 Жди Saule, она скажет что делать дальше. =) а это "она", да?)) а я думал........хех)) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 7 июня, 2006 Жалоба Поделиться Опубликовано 7 июня, 2006 Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить?Если у тебя Windows XP/ME - на время лечения нужно отключить функцию System Restore:Для этого кликаем на My Computer правой кнопкой мыши и заходим в Properties. Затем в закладку System Restore и ставим галочку напротив Turn off System Restore on all drives. После чего компьютер предложит перезагрузиться. Соглашаемся. И перезагружаемся в безопасный режим (Safe Mode), чтобы нам не мешало ничего лишнее: При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. Далее сканим систему и удаляем зараженные файлы... -------------------- Если же вдруг всё равно не поможет, то сделай, пожалуйста, лог HijackThis Нужно включить и нажать на кнопку "Do a systemscan and save a logfile". И программа автоматически выдаст лог-файл. Его содержимое скопируй прямо в топик или пришли мне в ПМ. Таким образом, можно будет найти и обезвредить "ядро" вируса, чтобы дальнейшей чистке уже ничего не мешало. -------------------- И заплатка Microsoft для этой дырки - Microsoft Security Bulletin MS04-011 Ссылка на комментарий Поделиться на другие сайты Поделиться
matva Опубликовано 8 июня, 2006 Жалоба Поделиться Опубликовано 8 июня, 2006 (изменено) ! Предупреждение: Мукс: Есть специальная тема: Помощь в лечении систем от нечисти, вопрос-ответ Свой вопрос надо было там задавать! Изменено 8 июня, 2006 пользователем matva Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 8 июня, 2006 Автор Жалоба Поделиться Опубликовано 8 июня, 2006 matva, понятно Saule, сделал, что ты сказала, не помогло...постучался к тебе в аську, но тебя там нет, поэтому сюда лог выкину: Logfile of HijackThis v1.99.1 Scan saved at 19:32:05, on 08.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\fsb.exe C:\WINDOWS\System32\FCDDDBD0.exe C:\Program Files\Internet Explorer\Iexplore.exe D:\HJ\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O21 - SSODL: FCDDDBD0 - {151D104F-5D56-6BDA-0B37-095003A55B3B} - C:\WINDOWS\System32\Kgcnhd32.dll (file missing) O21 - SSODL: mtklef - {63835C7F-4CE8-4744-E1B6-C7F7D3533C0E} - C:\WINDOWS\System32\ssic32.dll (file missing) O21 - SSODL: mtkle - {6D33AFFA-8D49-4209-B7B6-1C672F0C7F34} - C:\WINDOWS\System32\mzhh32.dll (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 8 июня, 2006 Жалоба Поделиться Опубликовано 8 июня, 2006 Saule, сделал, что ты сказала, не помогло...постучался к тебе в аську, но тебя там нет, поэтому сюда лог выкину: Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее: O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O21 - SSODL: FCDDDBD0 - {151D104F-5D56-6BDA-0B37-095003A55B3B} - C:\WINDOWS\System32\Kgcnhd32.dll (file missing) O21 - SSODL: mtklef - {63835C7F-4CE8-4744-E1B6-C7F7D3533C0E} - C:\WINDOWS\System32\ssic32.dll (file missing) O21 - SSODL: mtkle - {6D33AFFA-8D49-4209-B7B6-1C672F0C7F34} - C:\WINDOWS\System32\mzhh32.dll (file missing) И затем нажимаем на кнопку "Fix Checked" (браузер при этом нужно закрыть). Это так, мелочи... Даже если ты этого и не сделаешь, ничего критического не случиться, я просто люблю чистоту :D ------------------- А теперь о твоей проблемме. Я сначала была не совсем уверенна о каком HandUp'e идет речь, так как там должна была быть еще и цифра на конце, a теперь поняла :) (благодаря файлам fsb.exe, FCDDDBD0.exe из лога). У Microsoft он называеться Download.Ject (What You Should Know About Download.Ject; Download.Ject detection and recovery advisory). Другие названия: Berbew, Webber, Padodor, Qukart... Но это всё лирика, перейдем к делу. Этот вирус использует руткит (маскировку с помощью перехватов важных функций системы), поэтому часть его файлов антивирус просто не видит. 1. Сначала нам нужно нейтролизовать перехваты с помощью антируткита Олега Зайцева - AVZ. Программа на русском, поэтому я думаю ты легко с ней разберешься. Плюс в его базе есть нужные нам сигнатуры, поэтому я думаю после нейтрализации руткита, он сам и удалит этот вирус, даже Dr.Web не понадобиться. Хотя для верности после разок пройтись можно :) 2. Избавляемся от всех временных файлов. Либо с помощью специальной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp) или ATF-Cleaner (удобен тем, что не требует инсталяции). Либо в ручную: 1) Идем сюда - C:\Windows\Temp И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально). 2) Дальше: Start > Run вписываем %temp% Откроеться Temp фолдер. Также удаляем всё его содержимое. 3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files. Ссылка на комментарий Поделиться на другие сайты Поделиться
Мукс Опубликовано 9 июня, 2006 Автор Жалоба Поделиться Опубликовано 9 июня, 2006 Вкратце: ничё опять не помогло, он не может его полностью удалить... когда ты в аське бываешь? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 13 июня, 2006 Жалоба Поделиться Опубликовано 13 июня, 2006 Вкратце: ничё опять не помогло, он не может его полностью удалить...когда ты в аське бываешь? Online в аське никогда не бываю, всё время Invisible :) Поэтому стучать нужно в OFF. Сейчас уезжала на 5 дней, поэтому меня вообще не было. А обычно я почти круглосуточно, но могу не отвечать, если я занята :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти